Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los atacantes explotan activamente el Panel Web de Control sin parches
27 de enero de 2023 - Equipo de RRPP de TuxCare
Piratas informáticos malintencionados han empezado a explotar una vulnerabilidad crítica CVE-2022-44877 en versiones no parcheadas del Panel Web de Control, una popular interfaz de alojamiento web gratuita y de código cerrado.
La vulnerabilidad permite la ejecución remota de código sin autenticación y fue parcheada en octubre tras ser descubierta y notificada por el investigador de Gais Cyber Security Numan Turle, que publicó la prueba de concepto el 3 de enero. GreyNoise y The Shadowserver Foundation registraron entonces la explotación activa, y esta última señaló la explotación inicial el 6 de enero.
Aunque la vulnerabilidad crítica que afectaba a Control Web Panel se parcheó oficialmente el 25 de octubre de 2022, empiezan a acumularse pruebas de explotación activa.
CVE-2022-44877 es una vulnerabilidad de ejecución remota de código causada por una única línea de código en el archivo /login/index.php, que permite a atacantes no autenticados ejecutar código en la máquina que aloja el Panel Web de Control.
Para registrar los errores, la línea problemática emplea la siguiente estructura: echo: "entrada incorrecta, dirección IP, HTTP REQUEST URI" se devuelve. Según los investigadores, como la URI de petición procede del usuario y va entre comillas dobles, es posible ejecutar comandos como $(blabla), que es una función de bash.
Debido al hecho de que la funcionalidad de registro se basa en bash (a través del comando echo) y el parámetro HTTP REQUEST URI es controlado por el usuario, un atacante puede utilizar una característica incorporada en bash llamada Sustitución de Comandos para crear una solicitud HTTP "maliciosa" que contenga comandos del sistema.
En algunos ataques, el exploit se utiliza para lanzar una shell inversa. Utilizando el módulo Python pty, las cargas útiles codificadas se convierten en comandos Python que llaman a la máquina del atacante y generan un terminal en el host vulnerable.
Según GreyNoise, al menos cuatro direcciones IP diferentes están atacando activamente la vulnerabilidad. Por lo tanto, se insta a los administradores a actuar con rapidez y actualizar CWP a la versión más reciente disponible, actualmente 0.9.8.1148, que se publicó el 1 de diciembre de 2022.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
